1. Главная / Статьи 
ул. Черняховского, д. 16 125319 Москва +7 499 152-68-65
Логотип
| статьи | печать | 750

Частная жизнь: «Посторонним…»

Правительство озаботилось безопасностью персональных данных

Как правило, закон действует только при наличии нормативных актов, принятых для его реализации. Не является исключением и Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — Закон). Для того чтобы он заработал, Правительство РФ Постановлением от 17.11.2007 № 781 утвердило Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных (далее — Положение). Этот нормативный акт начал действовать 29 ноября 2007 года и касается всех, кто осуществляет такую обработку.

 

Любопытству — бой!

Народ всегда относился отрицательно к излишнему любопытству. Тем не менее не в столь далекие времена кадровик мог запросто по телефону рассказать солидно представившемуся «голосу» всю подноготную работника, а бухгалтер — сообщить размер зарплаты. Кроме моральных норм (признаваемых далеко не всеми), других препятствий для распространения информации о личности не существовало.

С появлением информационных технологий возник и нелегальный рынок персональных данных. Очевидно, что диски со сведениями о миллионах граждан приобретаются отнюдь не для праздного любопытства… Кстати, скандалы, связанные с утечкой информации, сотрясают не только наше Отечество.

Для борьбы с подобного рода безобразиями и был принят Закон, вступивший в силу 26 января 2007 г. Его целью является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну (ст. 2 Закона).

Одна из причин появления этого правового акта — принятие Федерального закона от 19.12.2005 № 160 «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных». Отметим, что в соответствии с подп. «а» п. 2 ст. 9 указанной Конвенции Российская Федерация оставила за собой право устанавливать ограничения права субъекта персональных данных на доступ к сведениям о себе в целях защиты безопасности государства и общественного порядка.

 

Трудные роды

Однако Закон является лишь основой, на которой еще предстоит «возвести» механизм, позволяющий перекрыть каналы утечки информации.

Согласно п. 2 ст. 19 Закона Правительство РФ устанавливает требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне указанных систем.

На основании этого и было утверждено настоящее Положение. Как видим, «вынашивало» его Правительство РФ довольно долго — почти 16 месяцев, если считать с даты принятия Закона. Однако есть основания полагать, что появившееся «дитя» не лишено недостатков.

Законодатель, поручив Правительству РФ установить требования, видимо, имел в виду, что в результате появится нормативный акт, полностью решающий весь комплекс соответствующих вопросов. Но этого не произошло.

Так, из п. 6 Положения следует, что порядок проведения классификации информационных систем устанавливается совместно Федеральной службой по техническому и экспортному контролю, Федеральной службой безопасности, Министерством информационных технологий Российской Федерации.

Конечно, можно сослаться на особую специфику затрагиваемых вопросов. В то же время где гарантия, что ведомственные документы, которые, видимо, еще только предстоит разработать, не исказят направленность Закона и не приведут к осложнению и так нелегкой жизни хозяйствующих субъектов? Ведь Правительство РФ могло бы поручить указанным ведомствам разработать порядок проведения классификации информационных систем, а затем включить его в Положение.

 

Зона контроля

К техническим средствам, позволяющим осуществлять обработку персональных данных, Положение относит средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки данных (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие техническое средства обработки речевой, графической, видео- и буквенно-цифровой информации). К ним же относятся программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации, применяемые в информационных системах.

Безопасность персональных данных предписано достигать путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может быть уничтожение, изменение, блокирование, копирование, распространения указанных данных.

 

Определим «крайних»

Существуют структуры и организации, которые в силу специфики своей деятельности хранят информацию о гражданах. Но Закон касается, конечно, не только их. Ведь на любом предприятии есть по крайней мере два подразделения, концентрирующих сведения о работниках, — кадровая служба и бухгалтерия.

Положение предусматривает, что для разработки и осуществления мероприятий по обеспечению безопасности персональных данных при их обработке в информационной системе оператором или уполномоченным лицом может назначаться структурное подразделение или должностное лицо (работник), ответственное за обеспечение такой безопасности.

Лица, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения служебных (трудовых) обязанностей, должны допускаться к ним на основании списка, утвержденного оператором или уполномоченным лицом.

При этом запросы пользователей информационной системы на получение персональных данных, а также факты их представления следует регистрировать автоматизированными средствами указанной системы в электронном журнале обращений.

Содержание этого журнала должно периодически проверяться соответствующими должностными лицами (работниками) оператора или уполномоченного лица.

Появятся и новые «внешние» проверяющие. В соответствии с п. 3 Закона контроль и надзор за выполнением требований, установленных Правительством РФ, осуществляются федеральными органами исполнительной власти, уполномоченными в области обеспечения безопасности и в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий и без права ознакомления с персональными данными, обрабатываемыми в информационных системах.

 

ВНИМАНИЕ

Согласно Положению размещение информационных систем, специальное оборудование и охрана помещений, в которых ведется работа с персональными данными, организация режима безопасности в них должны обеспечивать сохранность носителей персональных данных и средств защиты информации, а также исключать возможность неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц.

 

СПРАВКА

Согласно ст. 3 Закона оператор — государственный или муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание их обработки.